Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 6 ~
1. Introduzione
Nella prima parte della tesi verrà analizzato lo scenario in cui
dovremo inserirci per poter trovare una soluzione sicura di
pagamento da un dispositivo mobile. Dopo una velocissima
introduzione a quella che è stata l’evoluzione del sistema
finanziario e transazionale sulla rete, il problema più grande che si
è presentato è quello della sicurezza dei dati trasmessi via web.
Per questo motivo ho dedicato alcuni mesi allo studio delle
tecniche Hacker più utilizzate, atte a violare un sistema informatico
recuperando le credenziali di accesso di migliaia di utenti.
Infine l’obiettivo posto è stato quello di trovare un sistema facile
ma al tempo stesso sicuro, per dare la possibilità a tutti di
effettuare transazioni di Mobile Banking.
Ho pensato ad una possibile soluzione per raggiungere il mio
obiettivo, ne ho valutato le vulnerabilità ed i benefici per arrivare a
concretizzare un progetto. Fissate le specifiche è stato possibile
implementare a livello informatico un sistema con queste
caratteristiche ed infine sperimentarlo su una macchina virtuale e
su un dispositivo reale.
Tutto questo è stato reso possibile grazie ai due mesi trascorsi in
Exprivia S.P.A. con sede a Molfetta, sotto la supervisione del Dott.
Giampiero Rosa. Grazie alle collaborazione con il collega Giuseppe
Calaprice, laureando in ingegneria informatica, è stato
implementato un sistema Client-Server che potesse permettere di
ottenere dei risultati positivi in fatto di sicurezza e praticità.
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 7 ~
2. L’e volu zione
2.1. Il Mobile Banking
2.1.1. Cenni Storici
Internet ha alle sue spalle una storia travagliata, ma ricca di
contenuti. E’ nato negli anni 60 come progetto del Ministero della
Difesa degli Stati Uniti, per poi diventare la rete più grande e più
utilizzata al mondo per ogni tipo di bisogno.
Anche tutti i processi bancari e finanziari, con il passare del tempo,
hanno invaso questo mondo. Nasce cosi l’Home Banking. Sotto
questo titolo generico, vengono racchiusi anche tutti i servizi di
Internet Banking nonché di Mobile Banking.
La Telebanca o Banca a domicilio, cosi definito l’Home Banking,
permette di effettuare, stando comodamente seduti a casa propria
o in ufficio, tutte le operazioni bancarie disponibili presso un
normale sportello. In particolare è possibile effettuare bonifici
bancari on-line, visionare il proprio estratto conto, effettuare
operazioni di ricarica del cellulare nonché pagare i propri beni e
servizi. Spesso ad un conto corrente di questo tipo, vengono anche
associate delle carte di credito, a chip o a banda magnetica, che
permettono di effettuare i pagamenti sia nel mondo on-line che in
quello off-line.
Negli ultimi anni, questo sistema ha avuto un enorme diffusione
anche in Italia. In particolare parallelamente alla nascita dei conti
correnti virtuali, nascono le banche esclusivamente on-line, per le
quali le operazioni possono essere effettuate solo ed
esclusivamente in rete. Queste ultime praticano condizioni
d'interesse spesso migliori rispetto a quelle praticate sui conti
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 8 ~
correnti delle banche "tradizionali" e con costi di tenuta conto pari,
o prossimi, allo zero. Ciò è reso possibile dall'abbattimento dei costi
lavorativi e delle infrastrutture necessarie all'attività bancaria.
Una Telebanca necessita di un sistema di riconoscimento del
cliente, proprio come avviene in una banca tradizionale. Mentre
però in una banca del genere il riconoscimento avveniva tramite
l’impiegato dello sportello ed un documento di identità, in una
Telebanca il processo deve avvenire con il sistema informatico.
Sono anni che i giuristi italiani discutono sulla sottile linea di
separazione tra protezione della privacy e sicurezza della rete,
senza essere arrivati mai a grosse conclusioni. Internet gode delle
proprietà di dematerializzazione, destatualizzazione e
deterritorializzazione, rendendo cosi difficile se non in alcuni casi
impossibile, riuscire a riconoscere con totale certezza la persona
che si trova all’altro capo di una comunicazione. Cosi è nata la
necessità di riconoscere in maniera univoca e certa il fruitore del
servizio quindi rendere sicura l’autenticazione dell’utente.
Rubare le credenziali di accesso o i codici di sicurezza, per un
servizio di Home Banking, è un vero e proprio furto e come tale
viene punito dal codice penale, ma spesso risulta essere più
pericoloso di un normale furto. La vittima del reato, di solito, non si
accorge immediatamente di essere stata derubata poiché il furto
avviene in modalità completamente nascoste.
Le istituzioni finanziarie hanno migliorato i loro sistemi di sicurezza
a tal punto da rendere i servizi di Internet Banking, nonostante i
problemi della rete citati sopra, dei servizi sicuri e controllati.
In seguito con il passare degli anni e l’evolversi della vita nonché
della tecnologia, anche i vecchi telefoni cellulari, cosi come i
computer, si sono evoluti in un nuovo dispositivo, molto più utile,
più completo, più potente e maneggevole: lo Smartphone.
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 9 ~
Gli Smartphone hanno reso possibile tutto. Con un dispositivo
simile si può fare qualsiasi operazione dalla telefonata alla
pianificazione della propria giornata. E’ possibile anche effettuare
l’accesso alla rete e navigare sul web.
Le enormi richieste di ulteriori servizi fruibili dalla nuova armata di
persone smart, hanno creato la necessità di controllare anche la
propria situazione finanziaria, in qualunque momento della
giornata ed in qualunque posto ci si trovi. L’Internet Banking si
trasforma ed assume cosi una nuova forma, si comincia a
diffondere il Mobile Banking.
Il Mobile Banking nasce dall’esperienza di anni nei servizi di
Internet Banking, con tutti i problemi che ne derivano. Un
computer Desktop, con il passare del tempo, è stato reso sempre
più sicuro e inaccessibile se non da utenti malintenzionati con
elevatissime conoscenze informatiche. Firewall, antivirus, ed
antispyware di ultimissima generazione proteggono ogni giorno,
tutti i clienti che praticano l’ormai consolidato Online Banking da
casa.
L’avvento del Mobile ha fatto crescere le comodità, ma sono anche
aumentati i rischi. Un dispositivo mobile di oggi, non è ancora
sufficientemente protetto come un computer Desktop, rendendo
cosi facile qualsiasi attacco verso device di questo tipo.
Nonostante le vulnerabilità, l’utilizzo di servizi di Mobile Banking,
negli ultimi anni è cresciuto esponenzialmente ed è destinato a
crescere nel tempo, come dimostrato dagli studi effettuati nel 2009
dalla MMA, mobile marketing association.
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 10 ~
Questo trend di crescita è possibile solo perché, la gente crede nel
Mobile Banking, come un sistema pratico, veloce, maneggevole, in
di gestione e controllo della propria situazione finanziaria.
Tra i servizi di Mobile Banking disponibili ne citiamo qualcuno:
Avvisi di sicurezza e di accesso all’area riservata
Saldo dell’account, aggiornamento e storico
Possibilità di effettuare operazioni in movimento
Trasferimento fondi
Verifica delle transazioni
Servizi di geolocalizzazione dei più vicini ATM
Tutto questo è possibile grazie alle nuove tecnologie hardware e
software nate per soddisfare la richiesta dei clienti.
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 11 ~
2.2. Le Tecnologie attuali e passate
Analizziamo le principali tecnologie utilizzate per offrire i servizi di
Mobile Banking. Alcune sono ormai diventate obsolete e non
vengono più utilizzate, altre invece risultano essere le basi e le
fondamenta per le tecnologie moderne.
2.2.1. Mobile Web
La maggior parte dei dispositivi mobili venduti negli ultimi anni,
includono un browser che permette l’accesso alla rete. Nello stesso
tempo, la rete è diventata più estesa, più veloce e i dispositivi sono
stati migliorati in termini di potenza di calcolo e dimensioni degli
schermi. Tutto questo rende l’utilizzo di questa tecnologia sempre
più diffuso, ma anche problematico.
L’enorme varietà di combinazioni tra browser, dimensione degli
schermi e velocità di accesso alla rete (2G, 3G, 3,5G, 4G e WiFi)
rendono più difficile l’adattamento dei siti web a tutti i tipi di
Smartphone. Per questi motivi sono nate moltissime aziende che si
occupano esclusivamente di assistenza nell’adattare questa
tecnologia alle diverse combinazioni esistenti in commercio sui
dispositivi mobili.
Questa tecnologia permette ai clienti finali di poter accedere in
qualsiasi momento alla rete, per consultare la posta, per
frequentare un blog o postare un commento su un social network,
nonché per navigare, accedere e controllare i propri servizi di
Online Banking direttamente dal proprio dispositivo mobile.
Il Mobile Web basa il suo funzionamento su un protocollo utilizzato
esclusivamente per l’accesso alla rete di un dispositivo mobile, il
Wireless Application Protocol più comunemente noto come WAP.
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 12 ~
Nel paesaggio che circonda il Mobile Banking tramite browser è da
distinguere le modalità di browsing permesse: “on-portal
browsing” e il “full-browsing”. La prima permette di accedere ad un
sito web attraverso l’utilizzo di un portale, la seconda permette di
inserire l’URL desiderato direttamente in una barra degli indirizzi.
Vantaggi:
La possibilità di instaurare una connessione sicura grazie ai
più moderni browser;
Permettere agli utenti finali l’accesso ad applicativi
aziendali;
Grazie agli Smartphone di ultimissima generazione la
navigazione sui browser è sempre più veloce, pratica e
comoda;
Svantaggi:
L’utente ha bisogno necessariamente di un piano dati
soessi molto costoso e limitato, per poter sfruttare questa
tecnologia;
Limitazioni dovute a dispositivi mobili meno recenti che
sfruttano quindi tecnologie di accesso alla rete più lente,
dimensione degli schermi più piccole e capacità di calcolo
inferiori;
Non è possibile svolgere operazioni finanziare in modalità
off-line;
Sono presenti ancora troppe variabili non standard
(hardware, sistema operativo e browser) da considerare
per la progettazione di un sistema basato su questa
tecnologia;
Non è un metodo sicuro se non vengono utilizzate
connessioni basate su protocolli di comunicazione sicuri,
(es. TLS) che provvedono quindi a codificare i dati da
inviare;
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 13 ~
2.2.2. Mobile Client Applications
Le più moderne ed avanzate istituzioni finanziarie stanno
investendo molto per la realizzazione di applicazioni da scaricare
sui dispositivi mobili dei propri clienti. Questa tecnologia, permette
di inserire sullo Smartphone del cliente molte più funzionalità, a
volte anche complesse gestite in locale dal dispositivo, garantendo
maggiore sicurezza e un’interfaccia più maneggevole.
Le applicazioni per Smartphone sono la base per la maggior parte
dei servizi offerti ad un cliente, spaziando dai servizi di posta
elettronica ai servizi finanziari. Sono la soluzione ideale per offrire
funzionalità più potenti e sicure all’utente, spesso utilizzabili anche
in modalità off-line.
Una volta configurate sono in grado di proteggere i dati dell’utente,
di gestire le sue richieste e di fornire gli aggiornamenti necessari.
Vantaggi:
Possibilità di usufruire di funzionalità più complesse ed
avanzate per le transazioni finanziarie rispetto ad altri
sistemi;
Offrire un controllo migliore delle operazioni;
Capacità di operare anche in modalità off-line;
Consentono l’utilizzo di sistemi di autenticazione forte e
codifica dei dati grazie all’architettura client - server;
Supporto completo per l’aggiornamento, il funzionamento e
l’utilizzo dell’applicazione;
Molte applicazioni permettono la cancellazione in remoto
dei dati a salvaguardia degli stessi;
Progettazione, implementazione e sperimentazione di un sistema lato
client di comunicazione sicura in ambito Mobile Banking
De Donno Mario ~ 14 ~
Svantaggi:
Problemi di funzionamento dell’applicazione sulle migliaia di
combinazioni tra hardware e software dei diversi dispositivi
mobili;
Le varie prestazioni degli Smartphone possono causare
problemi durante l’accesso ad internet o semplicemente con
l’utilizzo del software;
Sono altamente soggette a Malware che ne causerebbero un
funzionamento indesiderato;
Problemi di supporto;
2.2.3. SMS
Tutti gli Smartphone moderni sono in grado di ricevere ed inviare
un SMS. Dal lato del cliente sono poco costosi e poco onerosi
rispetto ad un piano dati. Questi sono i motivi principali per cui
alcune banche degli Stati Uniti hanno deciso di implementare e
sviluppare un sistema di Mobile Banking basato sugli SMS. La
praticità e l’adattabilità di questa tecnologia, consente di
affiancarla ad altri sistemi per creare nuove tecnologie su cui
basare il Mobile Banking.
Generalmente, l’istituzione finanziaria, utilizza una serie di API per
generare dei brevi messaggi e per interpretare, nonché rispondere,
ai messaggi inviati dal cliente. La lunghezza massima che può avere
un informazione inviata con questo sistema è di 160 caratteri,
troppo pochi per un servizio di questo calibro, dove spesso
vengono richiesti estratti conto o altre informazioni comunque
complesse e molto lunghe.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
